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hacker (hàk’dr) 

“Persona che si diverte ad esplorare i dettagli dei sistemi di programmazione 
e come espandere le loro capacità, a differenza di molti utenti, 
che preferiscono imparare solamente il minimo necessario.” 


editoriale 


I compiti delie vacanze 


or? so voi, ma si sente aria di vacanza perfino in rete. Ed è vero. Guardi i 
blog della gente e c'è già chi scrive da lontano, o racconta del condiziona¬ 
tore, o smette di scrivere e se ne va in piscina o dove altro. Voi che fate? A- 
\zete voglia di raccontare a questa accaldata redazione che cosa si combi¬ 
na in ognuno delle decine di migliaia di nodi umani e superumani che compongo¬ 
no questa fantastica rete di coltivatori della conoscenza chiamata Hacker Journal? 
Leggeremo volentieri quello che arriva e se arriva qualcosa di divertente e inte¬ 
ressante lo pubblicheremo pure. 

Tornando in argomento-estate, i mesi caldi sono quelli più proficui per un hacker. 

Il perché è chiaro: le scuole chiudono e si può studiare anche qualcosa di diverso 

dalla storia degli Assiro-babilonesi, poco interessante a 

parte il fatto che contavano in base dodici (come si 

scrive 2004 in base dodici?). Le aziende restano 

aperte, ma i ritmi si rilassano e si può dare un’oc- 

chiata in più a un manuale interessante o a un JÉfcfc» l T 

forum con le dritte giuste. flMjliL.. 

Anche i genitori sono più tranquilli, o più colpiti dal 

caldo, e se la prendono meno - o proprio non ce la 

fanno - se si sta al computer a scoprire qualcosa di / 

nuovo o a collaudare un programmino appena scritto. VW i W- 

L'estate è anche la stagione d'oro per l'ingegneria 

sociale. I centralini sono più distratti, le segretarie non ^ 

ci badano, i bidelli lasciano passare tutto, se c'è da '• -I r f 'T T 

strappare un permesso proibito o guardare dove non si *!■ H 1 CtSw 

potrebbe è il momento più adatto per provarci. * .. v '. 

Purtroppo ne approfittano anche i disonesti. Quelli che si 

mettono in fila alle casse della pizzeria per sbirciare le carte di 

credito altrui, o controllano i lucchetti delle biciclette alla ricerca di 

quello chiuso male. Ma non sono hacker, lo sappiamo già: sono solo stronzetti e 

vediamo di non dargli spazio, né facilitargli il compito. 

Noi hacker, come potremmo passare l'estate? Il primo suggerimento, ma era 
ovvio: leggiamo Hacker Journal anche in spiaggia, o sui monti. Il secondo, meno 
ovvio: conosciamo gente. Parliamo con il vicino di ombrellone, con la signora 
Gina della Pensione Gina, con quella della classe di fianco che non c’è mai stata 
occasione di scambiare due chiacchiere. Per un hacker il rapporto umano è uno 
dei tesori più importanti che ci siano. 

E infine i compiti delle vacanze, no, il compito delle vacanze: prendersi un'ora, o un 
giorno, o una settimana, e programmare. Anche una cosa piccola, anche una 
sciocchezza, anche scrivere Hello world in JavaScript e abbandonarsi sfiniti alla 
soddisfazione, con in mano una granita ghiacciata. 

Buone vacanze a tutti! 
theGuilty©hackerjournalJt 


Diteci cosa ne pensate di HJ, siamo tutti raggiungibili via e-mail, tramite lettera o messo 
a cavallo... Vogliamo sapere se siete contenti, critici, incazzati o qualunque altra cosa! 
Appena possiamo rispondiamo a tutti, scrivete! 

redazione@hackerjournal.it 















UN GIORNALE PER TUTTI: 

SIETE NEWBIE 0 VERI HACKERS? 

I l mondo hack è fatto di alcune cose facili e tan¬ 
te cose difficili. Scrivere di hacking non è inve¬ 
ce per nulla facile: ci sono curiosi, lettori alle pri¬ 
me armi (si fa per dire) e smanettoni per i quali il 
computer non ha segreti. Ogni articolo di Hacker 
Journal viene allora contrassegnato da un level: 
NEWBIE (per chi comincia), MIDHACKING (per chi 
c’è già dentro) e (per chi mangia 

pane e worm). 
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Google. anzi. 
GOOglB 


Il motore di ricerca 
più famoso al 
mondo ha pensato 
anche alla comunità 
hacker... 
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i mi tempi amari 


...ricordo quando ho punzonato 
una bella quantità di schede perfo¬ 
rate di codice sorgente su una 
punzonatrice IBM 010. Dodici 
chiavi dati, una per riga. Più una 
chiave per scavalcare l’avanza¬ 
mento automatico delle colonne e 
una chiave spazio per saltare una 
colonna oppure per farla avanzare 
se uno si dimenticava di rilasciare 


John 


la chiave di blocco prima dell’ulti¬ 
ma riga del carattere. 

Ah... per un po’ di tempo la 010 
rimase disponibile anche con l’av¬ 
vento della 024 e della 
026, con le loro comode 
tastiere e funzioni di pro¬ 
grammazione. Ma erano 
poche e si faceva la 
coda. In certi momenti 
era più veloce punzonare 
una ventina di schede 
perforate sulla 010 che 
aspettare una macchina 
libera. 


Self-made Website 

Ciao! Vorrei segnalare il mio sito! lo 
ho 14 anni e me lo sono fatto tutto 
da solo e speravo che voi riusciste a 
segnalarlo nel prossimo numero! 
Leggo sempre i vostri articoli! Siete 
grandi! My site: 

http://www.wba.it/Marri%20dj%20si 

te%20folder/lndex.htm. 

Michele (Marridj) 


Jluoua Password! 

Ecco i codici per accedere alla Secret Zone 
del nostro sito, dove troveremo arretrati, 
sfondi, informazioni e approfondimenti in¬ 
teressanti. Con alcuni browser, può capita¬ 
re di dover inserire due volte gli stessi co¬ 
dici. Non fermiamoci al primo tentativo! 
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JSER: euro 
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▲ Chi ha un server per ospitare 
darkshine e il suo clan di soldati di 
fortuna? 


A Per aumentare il realismo del 
gioco, una volta installato, iniziano 
ad arrivare maiI misteriose e ina¬ 
spettate ma non c ’è da preoccupar¬ 
si. Al limite c 'è da chiedersi dove 
possono arrivare questo tipo di 
giochi. Qualcuno busserà presto 
alla nostra porta? 


SERVER 
OF FORTUNE 

Mi diverto a giocare a Soldier of 
Fortune 2 in rete. Vi scrivo per 
una cortesia. Il mio clan è appena 
nato e quindi avremo bisogno di 
un server sempre più grande per¬ 
che ci stiamo espandendo giorno 
dopo giorno. Quindi la mia richie¬ 
sta e quella di farci voi un grande 
server. 

darkshine 

La nostra missione è pubblicare 
HJ e non alzare server per il 
gioco in rete (quanti dovremmo 
alzarne, poi, per accontentare 
tutti?) Ma scommettiamo che 
tra i lettori c’è chi condivide il 
tuo interesse per SoF2 (che è 
molto bello) e ha anche un ser¬ 
ver da mettere a disposizione. Ci 
scriva e inoltreremo la mail a 
darkshine! 


in MEMomflM rj mm 

Ultimamente ho acquistato un 
Q'oco della Ubisoft che si chiama 
In Memoriam. Con mia grande 
sorpresa ho scoperto che questo 
gioco mi fa ricevere delle vere e- 
mail da internet e dalle segnalazio¬ 
ni di Zone Alarm ho notato che il 
programma sfrutta parecchio la 
connessione a Internet! Ora mi 
chiedo: non c’è pericolo che que¬ 
sto gioco trasmetta a mia insaputa 
informazioni private? 

Il Corvo 

Vai tranquillo, non corri nessun 
lericolo. La casa produttrice non 
ia nessun interesse a rovinarsi 
a reputazione per un gioco. 
Anche se riceve tuoi dati, come 
mimmo sarà assai attenta a non 
abusarne. 



OPINIONE SULLHAOKING 

Entrare in un computer a titolo d 
studio e un atto da hacker? Ll 
nostra intera comunità si divide i 
questa domanda. La mia (mode 
sta) opinione, è riassunta, molte 
semplicemente, nel seguente 
esempio. 

Cammini per strada, guardi le case 
che ci sono e ne trovi una che 
sembra avere la porta aperta. Cosa 
tai? Suoni il campane!lo e avverti, 
oppure attraversi il giardino, con¬ 
trolli che la porta sia effettivamen¬ 
te aperta^ entri (magari leggi la 
posta, già che ci sei, per curiosità, 
mica per far danni...) poi cerchi il 
padrone di casa, ali picchietti una 
spalla e gli dici "Ehi. hai la 
porta di casa aperta..." 

Alt[0]s 

Ovviamente non c’è hacking serio 
e condivisibile senza rispetto per 
ali altri (e per i loro dati). Ma se 
la questione fosse sempre così 
netta non ci sarebbe bisogno di 
dibattere. Pensiamo a Kevin 
Mitnick, per esempio. Non c’è 
dubbio che la sua applicazione 
disinvolta dell’ingegneria sociale 
o abbia portato a oltrepassare i 
limiti (e na pagato per questo). 
Ma come valutare effettivamente 
la sicurezza interna di un sistema 
senza penetrarvi? 


IMIJwww.haclterjournal.it l 
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GUAI A CHI TOCCA 


WINDOWS 

Stavo gironzolando nella vostra chat, 
visto che avevo un problemino con 
XP per vedere se qualche vero hac¬ 
ker mi avrebbe aiutato, ma mi sono 
accorto di una cosa: ci sono tanti 
fanatici di Linux (anche se non 
posso dargli torto) che odiano 
Windows, ma non sanno quasi 
neanche come funziona. Ora mi 
dico: non usate Windows, va bene, è 
più stabile Linux, va bene, ma cosa 
criticate Windows XP se non siete 
riusciti nemmeno ad aiutarmi a 
risolvere un problemino con Thard 
disk. XP non sarà stabile come 
Linux, avrà i suoi problemi, Linux 
sicuramente avrà tanti pregi, ma se 
non conoscete bene il nemico alme¬ 
no statevene zitti e non criticatelo! 

NOTTURNO 

Non esistono nemici, esistono solo 
scelte. Noi tifiamo Linux ma rispet¬ 
tiamo chi tifa Windows e chi sa giu¬ 
dicare i pregi e i difetti dei proprio 
sistema con obiettività e serenità. 
E se veramente è impossibile met¬ 
tersi d’accordo, beh. perché non 
sfidarsi a Battle for Wesnoth? 


T Battle for Wesnoth, un fantasy 
game a turni, semplice ma avvin¬ 
cente, con gioco in rete locale e via 
Internet. Funziona praticamente su 
tutti i sistemi operativi conosciuti 
ed è un sistema eccellente per 
risolvere le dispute facendo amici¬ 
zia, a http://www.wesnoth.org. 
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▲ Cercare due parole italiane su 
Google e trovare un solo sito in 
risposta: ecco un googlewhack. Il 
clacson censorio è scaduto (i siti 
sono due). Chi è capace di trovare 
altri googlewhack? 


w 

lìlill 
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DA QUALCHE PARTE 


Credo di aver trovato un altro goo¬ 
glewhack digitando clacson censo¬ 
rio. 

Baudelaire 

Non è durato nel tempo, ma com¬ 
plimenti lo stesso! 



IL REGISTRO 


Ho 15 anni e vorrei sapere qualche 
trucco per il registro di Windows 
2000. Del tipo come rendere invisi¬ 
bile il pannello di controllo o alcuni 
codici da inserire per modificare 
qualche programma. 

Lorenzo Maddaluno 

Ogni tanto questo tema ritorna su 
Hacker Journal, quindi continua a 
seguirci. Nel frattempo degli 
innumerevoli posti su Internet 
dove puoi trovare notizie a 
riguardo, ti segnaliamo http://win- 
dows.about.com/cs/registrytips/. 
Se trovi qualcosa che ti piace fac¬ 
celo sapere! 


COMPILANDO PERL 


Ciao, sono un Newbie con la N 
maiuscola, e detto questo passo 
alla domanda: programmo in Perl 
da qualche settimana (su 
Windows XP) e volevo sapere se 
esiste qualcosa che trasforma i 
script in file eseguibili. 


miei 
L'editor 


r - m .... __ 

_ che uso (Dzsoft Perl 

Editor) mi consente di eseguirli 
da prompt dei comandi ma io 
voglio vedere il mio .exe. 
Sapreste indicarmi un software 
free che lo faccia? 

N4zguL 

Da Perl 5.005 in poi il linguaggio 
comprende un modulo, B, che 

P ermette di creare eseguibili 
inari. Trovi approfondimenti 
per esempio, a http://www.perl 
doc.com/perl5. 6/lib/B/Bytecode 
html o 

http://www.dwam. net/docs/perl/l 
ib/B.html. 


T RSA in quattro righe di Perl 
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■ ITRIP MINI 
PER IPOD MINI 


T utto mini, ma non 
nelle prestazioni. 

Il trasmettitore iTrip 
si infila sopra l'iPod 
mini di Apple e tra¬ 
smette sull'autoradio, 
su frequenze inutilizzate, i brani MP3 
registrati neil'iPod di Apple. 

Che in Italia ci siano però frequenze inu¬ 
tilizzate sulla banda FM è cosa che scon¬ 
certa. Vale una verifica... 


■ TISCALI 

STRANGOLA IL P2P 


3 GIF LIBERATION DAY! 


□ 


1 8 giugno 2004, l’Europa è libera! 

Di fare che? Ma naturalmente di 
utilizzare tutte le immagini GIF che vuo¬ 
le senza dover pagare nulla a nessuno. 
Perché non era già così? No. 

GIF (Graphics Interchange Format) è 
un formato per immagini usato dal 
1987 da CompuServe al 
posto del precedente forma¬ 
to RLE che era solo in bian¬ 
co e nero. GIF utilizza la 
compressione LZW, molto 
più efficiente di RLE adot¬ 
tato da altri formati immagine come 
PCX e MacPaint. 

Ma... l'algoritmo di compressione LZW 
sul quale è basato il formato GIF, è un 
brevetto di CompuServe e Unisys. Pri¬ 
ma del 1994, le società in questione 
non pretesero il pagamento di nulla, 
ma dal 1995 decisero di iniziare a chie¬ 


dere il pagamento dei diritti di utilizzo 
del brevetto, per qualunque program¬ 
ma commerciale capace di creare file 
in formato GIF. L’utilizzo di immagini in 
formato GIF era cosi diffuso che alle 
aziende non rimase che pagare. Tra 
parentesi: fu così, anche, che nacque 
PNG, un formato senza restrizioni 
legali. Ma oggi è il tempo del 
riscatto. Già dal 20 Giugno 
2003 nessuna azienda ameri¬ 
cana deve più pagare Compu¬ 
Serve e Unisys per la creazione 
di GIF e dal 18 giugno di quest'anno 
nemmeno noi. In Giappone e Canada 
dovranno aspettare circa una settima¬ 
na: le scadenze sono rispettivamente il 
20 Giugno e il 7 Luglio 2004. E pensa¬ 
re che anche IBM aveva un brevetto su 
questo algoritmo, ma non si è mai 
sognata di chiedere nulla a nessuno! 


UNISYS 

Imagme it. Done.l 


3 MAI PIÙ FILI AL MONITOR! □ 


C hi ha Tiscali satellitare e scarica 
"troppo" si vedrà ridotta la banda. Gli 
utenti di Tiscali Sat Premium che scarica¬ 
no più di 1,5 GB nel mese passeranno da 
400/128 kbps a 128/24 kbps, mentre chi 
ha acquistato Tiscali Sat Lan potrà scari¬ 
care tre gigabyte nel mese prima di veder¬ 
si ridotta la connessione. 

Secondo Tiscali la decisione è stata presa 
per disincentivare gli usi della connessio¬ 
ne, come FTP e P2P, definiti ‘'anomali”. 
Noi troviamo anomalo che un provider 
ficchi il naso nelle faccende degli uten¬ 
ti. Se uno consuma banda, che la paghi. 
Ma se la paga, ha diritto di consumarla 
fino a quando non viola la legge. 



Fai un abbonamento costo¬ 
so a Tiscali satellitare e loro 
ti riducono la banda se ne 
consumi troppa. Sputano 
nel... piatto dove mangiano. 


T hree-Five Systems ha eliminato in 
un botto tutti i fili che vanno ad attac¬ 
carsi al monitor, tranne l'alimentazione. Il 
monitor wireless è un 1024x768 a 30 fra¬ 
mes per secondo, utilizza Wi-Fi 802.11 a, 
quindi ad altissima velocità e finalmente 
ci consente di tenere il monitor sulle ginoc¬ 
chia mentre la CPU è lontana fino a una 
trentina di metri. Ovviamente la stessa 
società ha introdotto il set completo: tastie¬ 
ra, mouse e monitor wireless fanno diven¬ 



tare portatile, perlomeno in 
ambito casalingo o d’ufficio, 
anche il computer più grosso 
e potente. Dalla parte del case 
della CPU si collega un tra¬ 
smettitore/ricevitore alle normali prese 
VGA, tastiera e mouse. Fa tutto da solo, 
è compatibile con i sistemi operativi attua¬ 
li e plug-and-play. Affascinante, ma se 
abbiamo tutte queste voglie di mobilità 
non vale la pena prendersi un portatile? 



3 JAVA FA UN PASSO VERSO L'OPEN SOURCE 


S un Microsystems ha annun¬ 
ciato di recente la disponibi¬ 
lità su java.net del codice sor¬ 
gente relativo alle interfacce di 
programmazione del linguaggio 
Java 3D. 

Non è ancora l’apertura integra¬ 
le del codice di Java, ma costi¬ 
tuisce sicuramente un grande 
passo avanti, che può solo gio¬ 
vare alla causa del linguaggio di 
Sun e a quella più generale del 
software libero. 


Java 3D serve anche per 
realizzare meraviglie nel¬ 
la genetica. 
































3 CUCCA IL WIFI COL PORTACHIAVI Q 



A ndare in giro con il portatile e 
individuare segnali WfFi a cui 
agganciarsi non è più così difficile (se 
mai lo è stato). È sufficiente attaccare 
le chiavi di casa o dell'automobile a 
WiFi Seeker, un portachiavi che costa 
circa trenta dollari. Lo si compra su 
http://www.wifiseeker.com/ e becca tut¬ 
ti gli hot spot che lavorano sui 2,4 GHz, 
la frequenza dello standard 802.11. Un 
pulsante e una serie di led: se si accen¬ 
dono siamo in presenza di segnale 
WiFi. È ora di collegarsi. 


3 FU VERO NETSTRIKE? 


I % 

E passato il blocco del sito del 
Ministero dei beni culturali, altri¬ 
menti noto come Netstrike contro il 
decreto Urbani, ma le polemiche resta¬ 
no. Da una parte quelli che ritengono 
l'iniziativa un successo, destinato a 
spingere il Ministero a modificare in 
modo più liberale il decreto; dall'altra 
varie comunità (per esempio Ziobud- 
da.net) dove vari commentatori, pur 
condannando il pessimo impianto del 
decreto, criticano fortemente la scelta di 
ostruire l'accesso a un sito realizzato 
con denaro pubblico e che in fin dei 
conti è al servizio di (ulti, compresi quel¬ 
li che lo vogliono navigare decreto o 
non decreto. Tanto più che l'iniziativa 
del netstrike è partita da un comitato 
apparentemente più interessato alla lot¬ 
ta contro l’avversario politico che all'ef- 


Atto rivoluzionario contro i nemi¬ 
ci dell’informazione che si anni¬ 
dano nelle istituzioni oppure 
gesto anacronistico lesivo delle 
libertà generali? La polemica sul 
netstrike continuerà. 


fettiva libertà di comunicazione e scam¬ 
bio in Rete. Boicottare i boicottatori? 


m: % 
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3 FINALMENTE SQUADRE CHE CORRONO □ 



Lo vediamo male nel 
gioco aereo e non ha 
neanche i piedi. Ma i 
suoi nipoti sfideranno 
quelli di Totti nel 2050 


M entre scriviamo si è aperta l'e¬ 
dizione 2004 della RoboCup, il 
campionato mondiale del calcio gioca¬ 


to da robot, che si è svolta contempo¬ 
raneamente alle finali degli Europei di 
calcio (umano). Il nome dei vincitori 
robotici lo si può vedere su 
http://www.robocup2004.pt/. 
Lo spettacolo per ora latita, 
in attesa di riuscire a fronteg¬ 
giare una squadra di umani 
per l'anno 2050. ma garan¬ 
tiamo l'assenza di sputi e la 
possibilità di trovare giocato¬ 
ri fusi, ma non dalla fatica e 
dal doping. 



■ ANDARE IN BIANCO 
ORA È UN'OCCASIONE 

D al 9 luglio e fino all’11 aprile 2005 
è aperto il concorso indetto da Seat- 
Pagine Gialle per trovare giovani artisti 
italiani tra i 20 e i 35 anni a cui affidare 
le copertine degli elenchi telefonici del¬ 
l'anno prossimo. La pagina dedicata al 
concorso si trova all’indirizzo 
http://www.paginebianchedautore.it/. 
Con tutta la creatività che dimostrano i 
lettori di Hacker Journal, scommettia¬ 
mo che vincerà uno di noi? 



■ INFETTI NAVIGANDO 
SU SITI SICURI 

L Jamericano CERT, 

Computer Emer- 
gency Readiness Cen¬ 
ter, ha lanciato l'allarme 
per un tipo particolare 
di attacco che sta 
venendo portato su 
Internet. I pirati, stavol¬ 
ta, penetrano nel server 
del sito bersaglio e 
modificano alcune pagi¬ 
ne inserendo uno script 
malevolo di nome JS.Scob. Quando un 
navigatore apre le pagine infettate sca¬ 
rica il codice e rischia grosso, pur non 
accorgendosi di nulla. 

Indovina indovinello, i siti colpiti risie¬ 
dono tutti su server che usano softwa¬ 
re Microsoft IIS 5 e l'attacco riesce solo 
se la vittima visita il sito con Internet 
Explorer 6. Tanto per cambiare. Un con¬ 
siglio, no, due: server Apache e brow- 
ser Mozilla. Si vive meglio. 




















PRIVACV 



Come funziona il codice di una carta di Credito 
è una sciocchezza tale che si fatica a crederlo. 

Ma come è fatta una carta magnetica e che dati contiene 
ancora, che standard utilizza? 

























NO PROFIT DA 
NON CREDERE 


LA PRIMA TRACCIA 



A No profit corporation! 
Incredibile , ma aero. 

S coprirlo è uno shock per 
molti, ma è vero. La VISA (o 
MasterCard, se è per quello) è 
una corporation no profit. Sem¬ 
bra un'assurdità ma è quasi 
ovvio, considerando che VISA 
in quanto tale non emette carte 
di credito, emesse in realtà dal¬ 
le banche che appartengono al 
circuito. VISA è sostanzialmen¬ 
te una coalizione di banche sot¬ 
to il cui nome viene svolta atti¬ 
vità comune di marketing e di 
collaborazione. VISA non pone 
condizioni particolari alle Pan¬ 
che che ne fanno parte e tutto 
il flusso di denaro viene ammi¬ 
nistrato e approvato diretta- 
mente dalle banche componen¬ 
ti. Molte banche piccole che 
fanno parte del gruppo si 
appoggiano a banche piu gran- 
di o al limite a VISA per la 
gestione del database delle pro¬ 
prie carte o per l'approvazione 
delle transazioni, ma questo è 
tutto. Bizzarro, vero? 


E-COMMERCE 


Codifica: 210 bit per pollice 

Tipo di codifica: sei bit per un set di 64 caratteri alfanumerici più 
alcuni caratteri speciali. 

Capacità: 79 caratteri, sei dei quali sono caratteri di controllo riser¬ 
vati. 

Dati contenuti: numero della carta, codice nazione, nome del tito¬ 
lare, data di scadenza e 'dati discrezionali" (a scelta della società 
emittente). 


LA SECONDA TRACCIA 


Codifica: 75 bit per pollice 
Tipo di codifica: quattro bit per i numeri da 0 a 9, più tre caratteri 
del imita tori, due caratteri di device control e uno inutilizzato 

caratteri, compreso un Longitudinal Redundancy 
Lneck (LKC) a limitazione degli errori di lettura. 

Dati contenuti: numero della carta, codice nazione (opzionale) 
data di scadenza e "dati discrezionali". 


LA TERZA TRACCIA 


Codifica: Come la prima traccia. 

Tipo di codifica: Come la prima traccia. 

Capacità: 107 caratteri. 

Dati contenuti: Praticamente non viene più utilizzata, per ragioni 
di sicurezza. 


Il sistema di verifica 
delle carte di credito 
viene utilizzato dai siti 
Web di e-commerce. 
Viene infatti controllata 
la corrispondenza dei 
numeri prima di inviare 
la richiesta alila banca. 
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tipo di carta in funzione di come è com¬ 
posto il numero. 

Ci sono tre insiemi di caratteri utilizza¬ 
bili sulle carte di credito: OCR-A, cosi 
come è definito nello standard ANSI 
X3.17; OCR-B secondo la definizione 
ANSI X3.49 e Farrington 7B, in accordo 
alle specifiche dello stesso ANSI X4.13. 
Il nome OCR deriva dal fatto che sono 
fatti per esse¬ 
re letti age- 
X volmente in 

5 automatico 

Pniied States of America . dal compu- 

ter. via Opti- 
cal Char¬ 
ter Recogm- 

fì TD12 SflSfcN tion (Ricono- 

scimento 
ottico dei 
I caratteri, per 

' I : > l'appunto). 


— £mar tP 
eT*r ;* 


m 


Standard 
di codifica 

Lo standard ANSI X4.16 (American Natio¬ 
nal Standard for Financial Services - 
Financial Transaction Cards - Magnetic 
Strip Encoding) definisce le caratteristiche 
fisiche, chimiche e magnetiche delle tre 
tracce di codifica previste. Alcune carte 
possiedono anche una quarta traccia. 
Questo vale per tutte le carte con banda 
magnetica e non solo per quelle di credi¬ 
to. Nei riquadri possiamo leggere come 
sono composte le 3 tracce standard della 
banda magnetica. In un prossimo articolo 
affronteremo il tema della frode con le car¬ 
te di credito: quali sono i tipi più comuni e 
qualche consiglio per difendersi. 

Reert lUright 

reediiiright@rnail.inet.it 
















CRVPTO 



pad: 


One-time 


Onusta cifrarla, 
in tsnris, s invialabils. 

Ss In ehm viaggia sicura 


U n one-time pad (letteral¬ 
mente, taccuino usa-e- 
getta) è in principio un 
cifrario simmetrico 
completamente inviola¬ 
bile. Simmetrico significa 
che usa la stessa chiave per la cifratura 
e la decodifica. Per tutti i cifrari simme¬ 
trici esiste un problema di riuscire a 
scambiare la chiave di cifratura tra mit¬ 
tente e destinatario, altrimenti quest'ulti¬ 
mo non potrà decodificare il messaggio. 
Ma se la chiave riesce a essere scam- 


ln molti laboratori lo HOR, 
cuore dei cifrari one-time 
pad, costituisce 
un’operazione eseguitissima. 


biata in modo sicuro, il cifrario è inviola¬ 
bile anche in pratica. 

La chiave di cifratura migliore per 
un cifrario one-time pad è una 
sequenza di bit il più casuale pos¬ 
sibile. Generare numeri casuali (ran- 
dom) non è una sciocchezza ed è 
meglio avere un buon generatore a 
disposizione, sia esso un algoritmo 
che produce numeri pseudorandom 
oppure un meccanismo ancora miglio¬ 
re. I numeri pseudocasuali danno 
cifrari sempre piuttosto sicuri, ma 
potenzialmente esposti a un attacco 
sufficientemente aggressivo. 

In un vero one-time pad la chiave è 
lunga quanto il testo da cifrare. È la 
forza del sistema e, contemporanea¬ 
mente, la sua debolezza, perché da 
una parte fornisce una sicurezza per¬ 
fetta ma dall'altra parte lo scambio 
della chiave tra mittente e destinatario 
è critico. Un altro requisito è che nes¬ 
suna parte della chiave venga mai 
riutilizzata per una cifratura successi¬ 
va ed è questo il motivo per cui si chia¬ 
ma one-time, usa-e-getta. 

Il metodo di cifratura in sé è molto 
semplice. Abbiamo il testo in chiaro 
(tic) e una chiave (key) che, applicata 
al testo, produrrà testo cifrato (cif). L'o- 


P SI FA PRESTO A DIRE RANDOM 

generatori di numeri casuali contenuti nei 
linguaggi di programmazione sono tutti 
pseudocasuali, ossia generano serie nume¬ 
riche che prima o poi finiscono per ripetersi 
in qualche modo. Per generare numeri vera¬ 
mente casuali bisogna fare interagire l'algo¬ 
ritmo di calcolo con un evento naturale cer¬ 
tamente casuale, come il decadimento di ele¬ 
menti radioattivi. La stessa definizione di 
numero casuale è in qualche modo proble¬ 
matica, anche se - molto rozzamente - si 
può dire che un numero è casuale quando è 
impossibile esprimere il numero usando 
meno bit di quanti ne contiene il numero, 
Sempre molto rozzamente, se un numero è 
veramente casuale, è impossibile compri¬ 
merlo. Un meccanismo molto semplice per 
generare numeri random è ricorrere a 
http://www.random.org, che parte dal rumo¬ 
re di fondo presente nell'atmosfera per otte¬ 
nere numeri perfettamente casuali. 


perazione è banale: un XOR bit per bit 
di chiave e testo in chiaro. Si può 
descrivere l'operazione anche così: 


cif = key^tic 


Per decifrare invece si fa: 


tic = key^cif 
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XOR, L'OR ESCLUSIVO 


XOR è una delle operazioni tipiche dell'al¬ 
gebra booleana, riprodotte in tutte le salse 
dai gate elettronici di qualunque apparec¬ 
chio digitale in commercio. In un gate (can¬ 
cello) arrivano due segnali, ognuno dei qua¬ 
li può avere il valore di 0 oppure 1, e il gate 
lascia passare un singolo risultato che 
dipende da come sono accoppiati i due 
input. Il funzionamento di un gate viene tipi¬ 
camente illustrato in schemini detti tabelle 
della verità, o truth table. Ecco la tabella del¬ 
la verità per XOR: 


E sorprendente come 
E questo sia vero anche 
con messaggi e chiavi 
molto piccole. Supponia¬ 
mo di essere gli aggresso¬ 
ri e di intercettare un mes¬ 
saggio cifrato lungo, esage¬ 
riamo, otto bit. Nella finzio¬ 
ne, sappiamo che è una 
comunicazione tra terroristi 
e che se il messaggio con¬ 
siste in una S ci sarà un 
attentato a una stazione, 
mentre se è una A è a 
rischio un aeroporto. Abbia¬ 
mo già molte informazioni 
e tutto quello che ci manca 
è una piccola stupida chia- 
I ve lunga otto bit, che può 
variare al massimo in 256 
modi. Analizzandoli tutti, troveremo 
una chiave che genera una A e un'al¬ 
tra chiave che genera una S. Siccome 
tutte e due le chiavi sono ugualmente 
probabili, siamo al punto di partenza. 
Questo vale per messaggi di qualun¬ 
que lunghezza. 


La semplicità è davvero notevole. Ma 
se la chiave è veramente casuale, non 
viene scoperta ed è lunga quanto il 
messaggio, il cifrario è inviolabile. 
Infatti, se vengono rispettate le clau¬ 
sole che abbiamo specificato, un 
aggressore privo della chiave non può 
fare niente, neanche esaminare a for¬ 
za bruta tutto lo spazio delle chiavi 
possibili. Provare tutte le chiavi teori¬ 
camente esistenti non porterà a nul¬ 
la, in quanto un cifrario potrebbe dare 
con la stessa probabilità qualsiasi 
testo in chiaro. 


one-time pad non sono diventati l'u¬ 
nico sistema di cifratura usato al 
mondo. 


Certo, se un nostro agente riesce a 
scoprire la chiave tutto diventa più 
facile. Ed è per questo che i cifrari 


Kurt Godei 
kurtgoedel@hackerjournal.it 


Un HOR... fatta in casa! 


Input 1 

Input ? 

Output 


0 

0 

D 


□ 

1 

1 


1 

0 

1 


1 

1 

0 

















EPRIVfiCV 







Isi possono realizzare dna artificiali a pre- 
[scindere dal consenso della persona. È 


una pane obi 
del processa: la 
calata sullo sta 
ottenuto a partir 
fotografia delfini 
è stata lasciata in 
frigorifero a rapp 
Quando è sufficien 
fredda la si può dis 
. con cautela dallo st 




più difficile, ma è possibile. Basta una 


buona impronta lasciata dovunque. 



re i sensori biometria di impronte digita¬ 
li al costo di un po' gelatina da cucina e 
poco altro. 


metrica sia la risposta ai 
problemi della privacy? 
Beh. c'è gente che da una 


(p 12 y www.hackerjoumal.tt l 


ncora persuasi che la bio- durre dita artificiali in grado di ingaffK 


Sono un po' più complessi anche gli 
ingredienti. Alla consueta gelatina da 
cucina va aggiunta una scheda a circui¬ 
ti stampati, sottile come un foglio di car¬ 
ta. ricoperta di uno strato fotosensibile, 
che reagisce alla luce. 


L'impronta viene trattata come potrebbe¬ 
ro fare gli agenti di CSI. il serial sulla poli¬ 
zia scientifica di Las Vegas: le tracce ven¬ 
gono evidenziate ricoprendole con ade¬ 
sivo cianoacrilico e Mwrafate ad alta 
risoluzione, se neceslWo con un micro¬ 
scopio elettronico, di cui esistono ormai 
esemplari altamente portatili. L'immagi¬ 
ne risultante viene trattata con un pro¬ 
gramma di fotoritocco adeguato (da Pho- 
ÌÀ toshop in poi). Fino a qui è semplice: il 
r ;problema è ottenere il rilievo, per arriva- 
/j^^H'impronta funzionante. 


-r ------ 

per strada fabbrica un dito 
sintetico a costo irrisorio. In Hacker Jour¬ 
nal numero 51 avevamo mostrato come 
ricercatori giapponesi siano riusciti a prò- 


. . --- ~ *- - 1 - 

partendo da dita vere di persone consen¬ 
zienti, il fatto più eclatante - e inquietan¬ 
te - è che, anche se questa di per sé è 
una minaccia alla sicurezza del sistema. 


L’immagine risultante dal lav 
ritocco viene stampata con 
inkjet (risoluzione tipo 1.200 




Circuiti fatosensibili 
e gelatina 












M L’impronta 
finale 
ottenuta 
nella 

5§Ss; gelatina. 

wjw Inganna 

WwV molto 

11 ® f ac,lmentB 

(jM qualunque 


■* L ’impronta 
appena 
ottenuta 
dallo 

stampo. Fa 
impressione! 


sensore! 


A Lo stampa pronto alla 
colata di gelatina. Si può 
arriuare a questo stadio 
a partire da una qualsiasi 
(buona) impronto lasciata 
perla strada! 


Reed (Uright 
rGBdiuright@mail.inGl.it 


Umidità 

16% 

23% 

Non misurabile 


Conducibilità elettrica 

16 Mohm/cm 
20 Mohm/cm 
Non misurabile 


& Dito vero 
I 3 Dito di gelatina 
& Dito di silicone 


Le impronte digitali di gelatina ottenute con il metodo descritto da ricercatori giapponesi pas¬ 
sano la prova dei sensori ottici e hanno un’alta probabilità di ingannare anche le apparecchia¬ 
ture più sofisticate, attente a umidità e conducibilità elettrica del “dito". 


Certo, ci vogliono tempo e lavoro. Ma 
tutto quello che abbiamo appena 
descritto è realizzabile in una casa 
qualsiasi, dotata di attrezzatura infor¬ 
matica normale e di una buona fotoca¬ 
mera digitale, abitata da una perso¬ 
na intraprendente con tempo da 


sionale. 


Conducente umido 


i della gelatina, che viene 
Impronta. Il tutto viene mes- 
3 a raffreddare per una ven- 
dopo di che si può stacca- 


A Dall'Immagine 
fotografata dell'Impronta 
all'Immagine che seruirà 
per produrre l’impronta 
è solo questione di 
Photoshop (o equiualente. 
Gimp è gratuito!). 
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’^itovutl/oulpu' uri: 


jRi[Sw 


HTMI- 


cmIL 


<?Hml uersion=”1.D”?> 

<!DaCTVPE wml PUBLIC “-//LUHPF0RUM//QT0 UIML 
1.1//EN” 

“http://wunu.UJapforum.org/QTD/wfnl_1. 1.Hml’ 
<wrnl> 

<card ìd=”Hello” titlE= !, Hella”> 

<p> 

Hello from UIML ! 

</p> 

</card> 

</uiml> 


a.. 


olo pochi anni fa qualcuno diceva 
che nessuno avrebbe mai voluto 
guardare Internet dal minuscolo 
schermo di un cellulare. Basta 
guardare fuori dalla finestra per 
accorgersi che non è proprio vero. 


WML (quasi) = HTML 


Sappiamo tutti come nasce una pagina 
HTML La si scrive, la si registra con suf¬ 
fisso .html e la si mette su un server che 
la rende visibile a tutti quelli che accen¬ 
dono un browser e si collegano a 
http://server/pagina.html, dove server è il 
la macchina su cui sta la pagina e pagi¬ 
na.html è il nostro file HTML. 


il Linguaggio di marcatura wireless (Wire¬ 
less Markup Language, WML) funziona 
con lo stesso principio, solo che è nato 
apposta per gli apparecchi con schermo 
piccolo, per esempio i cellulari. Una pagi¬ 
na WML si chiama card (scheda) e sta 
in deck (mazzi) e ha un suffisso .wml. 


in WML 












lefonata al 
! i un amico _ 

are un server in modo che 
mime pagine WML, si pone 
a di come visionare te pagine 
preparate. Anche ammésso che il nostro 
browser stand ard sa ppia leggere il WML, 

equivale allo 
erve quindi un 


truzioni. un 
der o la dritt. 
no jti conti 
‘sa pr 
il probi 

5 te 


di sicur 


Testi, tabelle, 
immagini 


< 


sua finestra non 
schermo di un cellulare. So 
browser WML. 

Installato un browser qualsJà^Tunzioha 
‘ come sul Web che conosciamo: digitiamo 
un indirizzo e vediamo la p^gtfia. L’indi¬ 
rizzo potrebbe essere, per esempio, 
http://localhost/Hello.wml; per una pagi¬ 
na che sta su un server installato sul 
nostro computei 


tes 

grati 


sto si visualizza dentro tag di para- 
* 


e quii 

, funzic 
: digitia 


<p allgn=”left” mode=”nuiurap”/> 


/ 


WML prevede tag table, img e tr, analo¬ 
ghi a quelli di HTML, anche se meno 
potenti. Le possibilità di formattazione del 
testo si fermano a corsivi, grassetti, enfa¬ 
si e tag <strong>. 



◄ Un 

broujsEr 

WML in 

funzione 

su una 

pagina 

fin 

troppo 

semplice. 


Link 



Per i link. WML mette a disposizione il 
tag a: 


A Su onde come queste 
uiaggiano le pagine WML 
lette dal nostra cellulare. 


<a href=”url” title=”label” accesskey=”r>testu n immagine linkata</a> 


Tag, card, deck 

Come abbiamo detto, le pagine WML si 
chiamano card. Le card possono conte¬ 
nere testi, Immagini, link, campi testo e 
meccanismi di inserimento dati o di sele¬ 
zione di opzioni. Siccome WML si basa 
su XML, tutti i tag che vengono aperti 
devono venire chiusi. Non ci sono certe 
libertà che sull'HTML sono invece con¬ 
sentite. 


Label sta per il titolo del link, che va man¬ 
tenuto entro i cinque caratteri di lunghezza 
per mantenere la compatibilita totale, 
accesskey mette un numero a sinistra del 
link, per consentire il “clic" premendo il 
numero appropriato sulla tastiera. 


Ue rso l’i n put 

Naturalmente queste sono solo le primis¬ 
sime basi del WML. Però dovrebbero basta¬ 
re per consentire a tutti di scrivere una pagi¬ 
na WML anche estremamente elementa¬ 
re. Chi avesse voglia di inviare l'URL di una 
sua pagina WML visibile via cellulare seri- 


BROWSER WML SUL WEB 

11 browser Web migliore da cui partire è sicu¬ 
ramente WinWAP di Slob-Trot 
(http://www.slobtrot.com/eng/index.shtml). 
Vanno bene anche i browser di OpenWave, a 
http://www.openwave.com/us/products/mo 
bile/device_products/. 


va a guestbook@hackerjournal.it e sarà 
pubblicato. Prossimamente torneremo sul¬ 
l’argomento e affronteremo tematiche di 
WML più complesse, come le strutture di 
input dei dati e altro ancora. 

Kurt GDdel 
kurtgoedel@hackerjournal.it 
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PERSONAGGIO 


■1 PIGI spazi 


Quando il maggiore Hinds dell’aeronautica 
militare degli Stati Uniti d’/Unerica accese 
il sub computer, la mattina del 28 marzo 1934, 

ni mono o hanno annata nna almann riiaai caannrii 



N ei successivi venti cercò con 
lo sguardo qualcuno intorno 

a sé. Dopodiché si disse che 
non era possibile e se qual¬ 
cuno aveva voluto fargli uno 
scherzo l'avrebbe pagata cara. 

Ma non era nello spirito, pur camerate¬ 
sco, dei suoi colleghi di ufficio. Erano tut¬ 
ti addestrati a compiti estremamente spe¬ 
cializzati di controllo elettronico e guerra 
informatica. Nella sua base, i Rome Labs 
della USA Airforce di stanza nello stato 
di New York, si studiavano sensori per la 
guerra elettronica. Gli occhi invisibili con 


Unix 

l monitoring 


INI ■ Phone 
□E3ZT Monitoring 





cui vengono equipaggiati aerei spia e 
satelliti militari. 

Eppure quel movimento non era stato rile¬ 
vato da nessuno: dai log di sistema che 
gli apparivano ogni giorno sul video del 
suo pc, quella mattina risultava volatiliz¬ 
zata un’incredibile serie di file, tutti top 
secret e confidenziali, che erano stati tra¬ 
sferiti a un altro indirizzo IR un computer 
esterno alla loro rete, chissadove. Dove¬ 
va esserci un errore. 

Dopo essersi attaccato al telefono per 
chiamare il generale Stevenson, a capo 
della baracca, si rilassò per un quarto d'o¬ 
ra. Il tempo per vedere 
arrivare, dalla sua fine¬ 
stra. le auto blindate dei 
“security experts and 
I, Computer Crime Investi- 

A gators", che gli sembra- 

! \ rono tutti uguali, con 

\ quelle valigette nere e gli 

\ occhiali di protezione da 

| \ , un sole che ancora sten- 

' |M| tava, in quella mattina di 

/ primavera appena inizia¬ 
ta. 

■J\ Periferia di Londra, feb- 

“ \ braio 1994 


▲ Per rintracciare Oatastream 
l’esercito ha impiegato diuersi sistemi 
di monitoraggio longo tutte le linee 
utilizzate, a partire da quelle 
telefoniche. 


Il sedicenne Richard 
Pryce aveva assolto tut¬ 
ti i suoi compiti scolasti¬ 
ci con grande sollievo dei 
genitori e si era apparta¬ 
to davanti al monitor del 
suo computer, come 
sempre. Non gli andava 


▲ Le basi dell'Hir Force negli 
Stati Uniti d’fìmerica. 
Oatastream le ha bucate 
quasi tutte. 

di guardare la TV e tantomeno di stare 
ad ascoltare i discorsi dei suoi, sulle pal¬ 
lose vicende che avevano reso la loro 
giornata tanto complicata. 

Era da mesi, ormai, che aveva accumu¬ 
lato esperienza. Quasi per gioco, parlan¬ 
done con gli amici, aveva scoperto le reti 
dati e i sistemi telefonici. Sapeva che tele¬ 
fonare a sbafo era una faccenda illecita, 
ma chi lo avrebbe mai scoperto? Si sen¬ 
tiva sicuro, coperto da quello che crede¬ 
va l'anonimato dello schermo del suo pc. 
Il colpo migliore l'aveva messo a segno 
qualche mese prima. Sfruttando la debo¬ 
lezza di un servizio pubblico della com¬ 
pagnia telefonica di Bogotà, in Colombia, 
riusciva a farsi richiamare ogni volta che 
voleva a spese altrui e cosi poteva stare 
attaccato tutta la notte con il suo modem, 
senza spendere nemmeno una sterlina. 
A volte la linea era un po' disturbata, ma 
in compenso, immaginava, se avessero 
cercato di individuare la chiamata avreb¬ 
bero iniziato dai sobborghi di Bogotà, non 
certo di Londra. 

H capofitto dentro 
i seruer segreti 

Si era fatto anche un amico più grande, 
Mathew Bevan, 21 anni appena compiu¬ 
ti, con cui riusciva a parlare a lungo, più 
che con tutti gli altri suoi compagni di clas- 
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A Colindale, sobborgo di Landra. 

Scu tland Vard indiuidua in zona 
l 'origino dei guai alle basi americane. 


se. Avevano deciso assieme i nick da 
adottare in ogni comunicazione, tra loro e 
con altri. Lui decise per Datastream Cow¬ 
boy, e Kuji il suo amico. 

Dal provider di Bogotà, che ormai era 
diventato il loro trampolino per ripartire 
alla ricerca di indirizzi IP da esplorare, 
Kuji era riuscito a penetrare nel Goddard 
Space Center di un sistema a Latvia e a 
copiare i dati militari riguardanti tutta la 
zona Baltica. Dal canto suo. Datastream 
Cowboy era appena stato a fare una pas¬ 
seggiata (telematica, s’intende) nei siste¬ 
mi della NATO a The Hague, nei Paesi 
Bassi, passando attraverso i server di 
Mindvox, un provider di New York. 
Quando l'Air Force decise di monitorare 
le linee per sniffare i pacchetti IP e cer¬ 
care di individuare l'intruso, Data stream 
Cowboy stava disconnettendosi dai ser¬ 
ver della base aerea Wright-Patterson in 


Ohio, usando come 
intermediario un siste¬ 
ma di Seattle: cyberspa- 
ce.com. 

Ma il panico nella base 
dell’Air Force si diffuse 
in aprile, quando Pryce 
penetrò in un sistema ) 
Koreano e trasferì il 
materiale del Korean 
Atomic Research Insti- - 
tute sui computer Air 
Force dei Rome Labs. 

La confusione isterica 
che ne seguì avrebbe 
potuto scatenare un 
vero incidente diplomati¬ 
co, causato dall'aggres¬ 
sione telematica che pote¬ 
va essere scambiata come 
un vero "atto di guerra”. 
Datastream Cowboy utiliz¬ 
zava un metodo molto sem- 
plice, ma altrettanto effica- 

rirnnp ce Piazzava su tutti i com- 
r icone. puter che j rovava aperti sul¬ 

la sua strada un keylogger, 
che gli forniva un'incredibile quantità di 
informazioni. Usare password, scoprire 
file top secret e divertirsi a trasferirli da 
remoto era ormai diventato un gioco da 
ragazzi. 

Il metodo 
e Scotland Vard 

Cominciò a parlarne sui bulletin board, a 
cui cominciarono ad accedere anche gli 
agenti delle forze speciali. Con qualche 
semplice trucco di ingegneria sociale gli 
stessi riuscirono perfino a farsi dare il 
numero di telefono dall'intraprendente 
ragazzino. A fine aprile Scotland Yard 
ebbe così modo di ricevere istruzioni dal- 
l'intelligence americana di tracciare un 
certo numero di telefono dei sobborghi a 


m. 

t al. ^ ■ 

AB o gota, Colombia. Da qui 
partiuano le telefonate di 
Datastream per entrare nei 
sistemi segreti militari. 

nord est di Londra. Non ci misero nem¬ 
meno troppo a scoprire che il numero 
veniva utilizzato evitando di pagare le 
chiamate. Lo monitorarono per una deci¬ 
na di giorni e il 12 maggio intervennero. 
Quando si presentarono a casa di Pryce 
e questi capi che erano lì per arrestarlo, 
i testimoni raccontano che “si buttò per 
terra in posizione fetale e iniziò a piange¬ 
re a dirotto". 

Fu comunque un processo complicato e 
ricco di sorprese. I capi di imputazione 
erano tanti, ma solo con le investigazio¬ 
ni successive e l’analisi approfondita del- 
l’hard disk di Datastream Cowboy, da cui 
vennero recuperati anche i dati di tracce 
cancellate, si ebbe conferma che era pro¬ 
prio lui il grande intruso. Il 21 giugno ven¬ 
ne arrestato anche Kuji. 

Durante gli interrogatori, Pryce confessò 
perfino di aver lasciato sul server del pro¬ 
vider Mindvox il programma completo di 
intelligenza artificiale, appena creato dai 
laboratori dell'Air Force, per la simulazio¬ 
ne delle guerre aeree. Perché? Troppo 
grande per essere trasferito sul suo hard 
disk, prima avrebbe dovuto buttare via 
qualcosa... 

UJriterBus 


( p 17 1 J www.hackeriournal.it ) 













J lj 

JJJJlLUJLUJ 





Come foceiamo ad aoleotiEare no ateo te che arriva sol 
oostro server Apache? Bastano posili semplici mosse. 


siamo Apache e il bir 


non sarà II solito login da un 
^ form html: utilizzeremo gli 
header HTTP. 

L’autenticazione degli utenti è infatti un 
problema da non sottovalutare ed è mol¬ 
to sentito da parte di tutti noi webmaster. 
Se creiamo delle aree di amministrazio¬ 
ne o comunque nascoste agli utenti 
generici di Internet, capiamo subito l'e¬ 
sigenza di proteggerne l'accesso, maga¬ 
ri indesiderato. 

Per questo utilizziamo script o sfruttiamo 
le caratteristiche dei web-server (Apa¬ 
che in pool position), per custodire file e 
directory del proprio sito. 


Il nhn 


Anche il PHP interagisce al meglio 
web-server e può inviare al 
l’utente degli hea 


che richieda 
no nome utente e password. 
Sfrutteremo questa caratteristica del PHP 
per la richiesta dei dati inseriti, che ver¬ 
ranno poi cercati e paragonati con quel¬ 
li presenti in una base dati MySQL. 


Il database utenti 


Dopo avere avviato MySQL (vedi 
“EasyPHP 1.6, l’é 
una sessione dì DOS 




e dalla sottocartel¬ 
la \bin di MySQL lanciamo il Client digitan¬ 
do mysql -u root. 

Ora creiamo il DB utenti: 


I mysql> CREATE DATABASE utenti; 

I Query OK, 1 row affected (0.02 sec) 

Oltre al testo da digitare (quello dopo 
la scritta 'mysql>'), abbiamo riportato 
anche la risposta da parte del server, 
mentre i comandi sono quelli in maiu¬ 
scolo. Ricordiamoci sempre di termi¬ 
nare una riga di comando con il pun¬ 
to e virgola (;). Dopo aver creato il data 
base, utilizziamolo per inserirgli la 
tabella Lista_utenti: 

? mysql> USE utenti; 

| Database Changed 

I mysql> CREATE TABLE iista_utenti ( 
•> id int(5) primary key not nuli 
autojncrement, 

■> nome varchar(50) not nuli, 

-> password varchar(50) not nuli, 
-> email varchar(IOO) not nuli, 

-> data varchar(20) not nuli, 

-> ip varchar(15) not nuli); 

! Query OK, 0 rows affected (0.01 sec) 

Così vengono creati tutti i campi con le 
giuste dimensioni: per esempio 'id' sarà 
un numero intero con 5 cifre ( fino a 
99999) e gli altri campi di testo di lun¬ 
ghezze differenti. 

Per le prove future, occorre che siano 
presenti dei dati all’interno del nostro DB. 
Ecco il codice per inserire un record, 
modificabile a piacimento: 

[ mysql> INSERTINTO lista_utenti 
VALUES 

* (", ’sonik’, ’pluto 'sonik@devpoint.it 
’, 20/12/03 18:40’, '127.0.0.1 ’); 

Si Query OK, 1 row affected (0.00 sec) 


li 


Connetti a localhost 


Area Privata per admln 
Noma Utente! fj sonik 


um 



□ Memorala passwxd 


Annulla 


/ passaggi per ac 
\bin di My SUL e i'at 
MySOL 
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mysql> SELECT # FROM hsta_utenti; 

id nome password email data ip 

1 sonik pluto sonik@devpoint.it 20/12/03 18:40 127.0.0.1 

1 row in set (0.01 sec) 


irai 


toni're 


im 


Mysni 


L’output visualizzato viene automatica- 
mente incasellato e così è anche bello 
da vedere! 


Ora si comincia! 


Cominciamo con la 
creazione del file [conn.php], relativo alla 
connessione e i suoi parametri. 


Sdata = date("d/m/Y H:i:s~); 

Sserver = " localhost 
Sutente = " root 
Spassword = 

Snome_db = "utenti"; 

Snome Jab = "lista_utenti"; 

Questi sono tutte le variabili che utilizze- 


so in [index.php] che andremo 
a costruire. Ecco il resto: 


Sconnessione = mysql_con- 
nect(Sserver,Sutente,Spass) 
or die ("Non riesco a con¬ 
nettermi"); Sdb = 

mysql_ select_ db(Snome_ db. Scon¬ 
nessione) or die ("Non trovo il data¬ 
base"); 

Il file della root principale (index.php] avrà 
il compito di inviare gli header HTTP e, 
una volta che l'utente avrà avviato il login. 
di accertare che questi siano presenti nel 
DB. 


Gli header 


per evitare errori fastid 


if(!isset(SPHP AUTH USER)) { 
header("WWW-Authenticate: Basic I 
realm=\"Area Privata per adminV"); 
header("HTTP/1.0 401 Unauthori - 1 
zed’); 

echo "Inserire nome utente e pas - 1 
sword per poter accedere"; 
exit;} _ I 

Prima di proseguire, vediamolo a grandi 
linee. L'header "WWW-Authenticate” ci 
permette di definire l'area che presenta 
un accesso riservato (e il testo della label 
relativa). Il codice di stato HTTP 401 sta 
per "accesso negato" e lo si utilizza per 
monitorare quei casi in cui non sono sta¬ 


remo nel seguito del progetto, per non Cominciamo con il creare il file ti inseriti username e password, oppure 


doverle ripetere e questo file sarà indù [index.php]. 


i dati diaitati non sono corretti. 
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File Modifica visualizza Preferiti Spumanti ? 


Indietro 


Aggiorna 


•è] http;/f!ocahost/HJ/ 


AUTORIZZATO 


nome utente sonik 
password pluto 
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Questo programma permette di avere nel 
proprio Windows, in un’unica installazio¬ 
ne, il server Apache, MySQL e PHP 
avviabili insieme. Questo facilita la loro 
configurazione e permette il loro utilizzo 
anche a da parte di chi vuole provare l'al¬ 
ternativa Open Source al vecchio ASP 
sullS (o PWS per Win9x). 


Grazie a questo else ne controlliamo l’e¬ 
sistenza nella base di dati: 


$sql_query = mysql_query($query, 
Sconnessione) or die ("Non riesco a 
sviluppare la query"); 


else { 

include(conn.php'); //la nostra con 
nessione 


In questo modo la Query può fornire un 
solo risultato o riga. Ecco come control¬ 
larne il valore: 


if($num_righe =='l") { 
echo "<h 1 >AUTORIZZATO</h 1> 
echo " <p>nome utente: 
<b>$PHP_AUTH_ USER</bxbr /> 
echo " password : 

<b>$PHP AUTH PW<JbxJp> 


Ora passiamo a creare la Query da ese 
guire sul DB: 


Squery = SELECT id FROM 
Snome tab WHERE nome = 

SPHP AUTH USER' And password 
= SPHP AUTH PW"’: 


Se otterremo un risultato che corrispon 
de a 1. il nome esiste e quindi la pas 
sword corrisponde, altrimenti: 


else if($num_righe = ‘0) { 

echo "<h1>Nome utente e password 

non corretti</h1> 

echo <a href='iscriviti.php'>iscrivi- 
ti</a> 


A questo punto bisognerebbe iscrivere 
l'utente nel database. Ma lo spazio è 
tiranno e invitiamo a scriverci per mag¬ 
giori info sull'argomento. Perora lo lascia¬ 
mo alla nostra sperimentazione quotidia¬ 
na. 


Michele Bruseghi 
sanik@deupolnt. 





















Per ora possono bastare tre campi per 
record: 


search„XML = new XML(); 
search XML.ignoreWhite : 
search XML.onLoad = 
function(evvai) { 
if (evvai) { 

parsailfile(search_XML); 


cosatorna = Cosa dovrà essere visua¬ 
lizzato come risultato della ricerca 
cosacarica = Cosa dovrà essere cari¬ 
cato dopo la scelta dell'utente 
cosacerca = Quali dovranno essere le 
keyword di ricerca 


Servono: 

- un file XML ; 

- un Component, nella fattispecie il List- 
Box che si trova nella categoria Flash Ul 
Components di Flash MX; 

- un campo di testo Input; 

- un campo di testo dinamico; 

- un movie clip vuoto; 

- un pulsante; 

- un movie clip per contenere tutto quello 
descritto sopra. 


search_XML.Ioad(“searchengine.xml 


Trattandosi di foto, un possibile file XML 
potrebbe essere: 


function parsailfile(xmlDoc) { 
for (n=0; ncxmlDoc.firstChild.child' 
Nodes.length; n++) { 


<motore> 

citem cosatorna="Foto 1” 
cosacarica="foto1 .swf" cosacer- 
ca="paesaggio panorama tramonto 
romantico"></item> 
citem cosatorna="Foto 2" cosacari- 
ca=”foto2.swf” cosacerca=”paesag- 
gio panorama alba 
romantico”></item> 
citem cosatorna=”Foto 3” cosacari- 
ca=”foto3.swf' cosacerca=”paesag- 
gio panorama mezzogiorno assola- 
to”>c/item> 

citem cosatorna=”Foto 4” cosacari- 
ca=”foto4.swf" cosacerca=”paesag- 
gio panorama mezzanotte silenzio- 
so”>c/item> 
c/motore> 


Prima di tutto dobbiamo pianificare la strut¬ 
tura dei dati. 


Cose da sapere per affrontare questo 
tutorial: 

Conoscenza base di gestione e utilizzo 
di XML in Flash 

Conoscenza medio-alta di programma¬ 
zione ActionScript 
Che cos'è e come si utilizza un array 
Come usare e programmare i 
Components 


Ora realizziamo lo script ActionScript che 
dovrà leggere le informazioni: 


onClipEvent (load) { 
Cosatorna = new Array(); 
Cosacarica = new ArrayO: 
Cosacerca = new Array(); 
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Selezionane 
dal Compon 
invochiamo 
cancaco 

un valore 
ent listboxl 
la funzione 
ritenuto 

3 

_ 

a funzione cancacontenuto 

va a prendere 
il movie interessato 


A il diagramma di flusso dui 
funzionamento del motore. 



Cosatorna.push(xmlDoc.firstChild.ch 

ildNodes[n].attributes.cosatorna); 

Cosacarica.push(xmlDoc.firstChild.c 

hildNodes[n].attributes.cosacarica); 

Cosacerca.push(xmlDoc.firstChild.ch 

ildNodes[n].attributes.cosacerca); 

} 

} 

} 

Il codice è all’interno di un onClipEvent 
(load), dato che tutto il motore starà in un 
movie clip. 

Creiamo il movie clip, trasciniamolo sullo 
stage e inseriamo lo script. 


Progettazione 

dell’interfaccia 


Che cosa serve per creare l'interfaccia 
del motore di ricerca ? 

- un posto per inserire le keyword: il 
campo di testo Input 

- un pulsante per avviare la ricerca 

- un Component per listare i risulta¬ 


ti della ricerca: il ListBox 
- un campo per un messaggio di 
errore nel caso non venga trovata 
nessuna occorrenza: il campo di 
testo dinamico 

Apriamo quindi il nostro movie clip e d'o¬ 
ra in poi tutte le operazioni saranno effet¬ 
tuate al suo interno. 

Il campo Input 

Inseriamo sullo stage un campo di testo 
di tipo Input e nella casella dedicata al 
nome di variabile digitiamo casella_cer- 
ca. 

Il campo dinamico 

Inseriamo sullo stage un campo di testo 
di tipo dinamico e nella casella dedicata 
al nome di variabile digitiamo nofind. 

Il pulsante di avvio 

Inseriamo sullo stage un pulsante e digi¬ 
tiamo questo script nel pannello delle 
action: 

on (release) { 
nofind = 

listboxl .removeAII(); 


cerca(); 

listboxl.sOrtltemsBy(‘‘label", 
“ASC”); 

} 

Il Component ListBox 

Inseriamo sullo stage un Component di 
tipo ListBox, nominiamolo ListBoxI e digi¬ 
tiamo questo script nel 
pannello delle action: 

onClipEvent (load) {this.setAutoHi- 
deScrollBar(true); 

} 

onClipEvent (enterFrame) (this.set- 
ChangeHandler(“caricacontenuto”); 
\ 


Lo script del motore 

Eccoci allo script vero e proprio. 

Nel primo trame della timeline del nostro 
movie clip inseriamo: 

function caricacontenuto() { 
loadMovie(listbox1.getSelectedl- 
tem().data, MC_Ext); 

} 

function cerca() { 

for (a=0; acCosacerca.length; a++) 
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paesaggio 

panorama 

mezzanotte 

silenzioso 
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Questa funzione verrà eseguita quando 
cliccheremo su uno dei valori del Compo- 
nent listboxl. 

In questo esempio si è pensato di far cari¬ 
care un movieclip esterno contenente la 
foto attraverso la tecnica ormai consoli¬ 
data del movie clip vuoto, quindi creia¬ 
mone uno, diamogli nome di istanza 
MC_Ext e trasciniamolo sullo stage. 


loadMovie(listbox1 .getSelectedl 
tem().data, MC_Ext); 


carica il movie esterno all’Interno del 
movie clip vuoto con nome di istanza 
MC_Ext, prendendo il nome dalla sele¬ 
zione effettuata sul Component listboxl 
con il valore memorizzato in data che, 
ricordiamo, è l'array Cosacarica. 


Questo movie si può migliorare o arricchi¬ 
re in molti modi, l’importante è sperimen¬ 
tare. 

Una base di partenza speriamo di aver¬ 
la fornita. :-) 


▲ Per una unita, ecco una casa in Flash graficamentE rudi 
mEntalE ma di utilità pratica EffEttiua. 


UJarpg 
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(Cosacerca[a].toLowerCase().inde 
xOf(casella_cerca.toLowerCase(), 
1 ) != - 1 ) 


Si può vedere il motore di ricerca descritto 
in questo articolo all'indirizzo 
http ://www. warp9. it/tutorial/f lash/mx/sear- 
chengine/searchengine.swf. 


Riprendiamo la riga qui sopra. A parte 
toLowerCaseQ che serve per portare tut¬ 
to in minuscolo evitando così problemi 
di ricerca, se il contenuto di casella_cer- { 
ca applicato all’array Cosacerca è 
diverso (!=) da -1 allora si esegue: 


if (Cosacerca[a].toLowerCase().inde- 
xOf(casella_cerca.toLowerCase(), 1 ) 


listboxl ,addltem(Cosatorna[a] 
Cosacaricafa]); 


listboxl .addltem(Cosatorna[a] 
Cosacaricafa]); 


cioè aggiungiamo nel Component list¬ 
boxl il contenuto dell'array Cosatorna 
per quanto riguarda label (la visualiz¬ 
zazione) e Cosacarica per quanto 
riguarda data (il dato da elaborare), 
altrimenti si passa oltre (ovvero non si 
fa niente). 

Il ciclo si ripete un numero di volte 
uguale al numero dei valori contenuti 
nell'array Cosacerca. 


if (listboxl.getLength() == 0) { 
nofind = “La ricerca non ha dato 
nessun riscontro.”; 


stop(); 

Qui definiamo le funzioni caricacontenu 
to e cerca. 


Concludiamo la funzione con 


La funzione cerca if (listboxl.getLength() == 0) { 

nofind = “La ricerca non ha trovato 
for (a=0; a<Cosacerca.length; a++) { nessun riscontro, riprova con altre 

chiavi.”; 

Creiamo un ciclo for che andrà avanti tan- } 
to quanti saranno i valori dell’array Cosa- 

cerca. La funzione caricacontenuto 


panorama 0 cerca 

Foto 1 

Foto 2 

Foto 3 


----- 

Foto 4 
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ono passato a Linux prima 
che uscisse Windows XP. 

Non mi piaceva tanto quello che 
mi raccontavano del nuovo 
sistema e cercavo alternative. 


Finalmente un amico mi ha consigliato 
Mandrake 8.1.11 resto, come si dice, è sto¬ 
ria. I miei ultimi legami con Windows sono 
stati tagliati nel 2002, quando anche l'ulti¬ 
mo PC rimasto in casa è diventato un ter¬ 
minale Linux, e oggi la parte informatica 
della mia casa è Linux al cento per cento. 




3 divont. 


Essere l'unica per¬ 
sona sulla Terra a non avere mai neanche 
visto XP. o qualcosa del genere. Poi ho 
risposto a una richiesta di aiuto che non 
potevo rifiutare e... 


Lentooo 


Mi sono ritrovato davanti a unq'macchina 
che andava terribilmente lenta: Noti avevo 

Non potevo dare un 
comando top e scoprire che processo si 
portava via RAM o cicli di CPU. Ho tenta¬ 
to di usare il Task Manager, ma nessun 
processo mostrava segni di non risponde¬ 
re e quindi non aveva senso impartire un 
comando kill per terminarlo. 

Ho provato allora a vedere che tipo di hard¬ 
ware era montato sul computer. Ho armeg¬ 
giato nelle Impostazioni, ma non sono 
riuscito a capire che CPU montasse, o 
quanta RAM ci fosse. 


A Mandrake Li mi a 
(http://munu. 
mandrakelinun. com). 

Sarà semplice come 
suggerisce la confezione? 


•i 


A Quanti programmi 
in guest a scatola? Poco o 
niente. In una uersione 
tipica di Linun ce ne sono 
decine. 

La persona che stavo cercando rii aiti tare 
era convinta che il computer fosso infetta- 

dato che lo scanner antivi¬ 
rus aveva riportato un problema con UNFI- 
LE.EXE. Il tentativo successivo fu di trova¬ 
re e cancellare UNFILE.EXE, ma tutto 
andava troppo lentamente. Lo scanner 
sembrava non voler partire mai. Peraltro ■ 
mi sembrava difficile che fosse colpa di un t 
virus. 

I messaggi di errore che uscivano, cerca¬ 
ti su Google, non portavano a nionto. Il I 
modem ADSL età collegato ma se nerica- | 

Ho iniziato a fare ping 
in giro per vedere se c'era una connessio¬ 
ne difettosa, un problema di DNS o altro. 
Niente. Nessun modo serio di vedere sot¬ 
to il cofano quello che stava succedendo. 
Sembrava un Mac del secolo scorso, pri¬ 
ma di Mac OS X. 

Soccorso Lino» 

A un certo punto mi sono stufato e ho pre-; -fi 
so un CD di Knoppix. la versione di Linyx 1 
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A/C/7£ (http://iuwuj.kdE.org), una delle interfacce 
grafiche più diffuse su Linuu, ha un ottimo aspetto 
ed è assai funzionale. 


che funziona corno fosso installata su un 
hard disk, sonza doypfctoccare veramen¬ 
te i dati eh Un minu¬ 

to ed ecco i dati della macchina: P4 a 2,4 
GHz, 256 MB di RAM, video i845, audio 
i810, scheda di rete sis900 eccetera. Non 
c'era alcuna ragione per la lentezza che 
continuavo a constatare. Qualche cosa 
probabilmente mandava in confusione lo 
swap su disco. 

Valutati i prò o i contro, si ò deciso di for- > 
mattare il disco. Ma prima, ancora un’ulti¬ 
ma occhiata alla ricerca di qualche indizio 

E mi sono reso conto che c'erano sei 
altri utenti amministratori installati. Li cono¬ 
scevo: sei amici del liceo, tutti allegroni, 
nessun esperto. Nessuno di essi poteva 
avere idea di che cosa significa avere la 
responsabilità di essere root, e solo il cie¬ 
lo poteva sapere chi aveva combinato che 
cosa sul disco per avere quell'effetto. 
Spyware, adware, virus, worm, o altro, 
anche peggio. Meglio, davvero, formattare. 

Ho impostato un account da ammini¬ 
stratore e uno da utente, riprometten¬ 
domi di spiegare alla mia amica di usa- 

per il lavoro quo¬ 
tidiano e usare l'account amministrato¬ 
re solo per i casi di emergenza. Nel 
mondo Linux questa cosa viene consi¬ 
gliata e spiegata da tutti; nel mondo 


Windows probabilmente non succede 
abbastanza. 

Nel frattempo l'installazione di Windows 


non riconosceva nessun componente 
hardware e per fortuna che sapevo che 
cosa era montato, altrimenti avrei pas¬ 
sato ore a smanettare tra i driver. La 
mia Linux Debian due mesi fa mi ave¬ 
va costretto a cercare una versione spe¬ 
rimentale di Xfree86 per fare andare la 
scheda video, ma XP voleva driver per 
ogni cosa. 

Doue sona 
i programmi? 

Alla fino XP si ò installato. Una installa¬ 
zione Linux comprende decine, so non 

E questa? Nien¬ 
te. Internet EXPloder, Outhouse 
EXPress e una interfaccia grafica più 
carina di quella di ME, ma sempre rudi¬ 
mentale. Mi sono stupito di quanto fos- 1 
se lame l'interfaccia di XP rispetto a ) 
quella di KDE, perfino KDE 2.x. 

Non so. Dicono che Linux sio più diffi- TM 

Cile di Windows,-,Cortamente mia 

che ha cinquantanni e non sa 
quasi niente di computer, non sarebbe 
mai riuscita a installare Linux e ho dovu¬ 
to farlo io per lei. Ma da allora non ha 
avuto più bisogno di niente. 

Sìlua K? 



A Mandrake al lauoro. In italiano. 

Probabilmente anche nostra mamma potrebbe usarlo, se 
glielo installassimmo. 






|[ ) f acKerjournal.it] 



























































SPAMMING 



pam Motel si raggiunge all'in¬ 
dirizzo prevedibile 

http://www.spammotel.com e. per 
quanto ancora In beta, sembra 
essere una buona soluzione nel¬ 
l'Inseguimento continuo tra spammatori 
e soluzioni antispam. 

A Innanzitutto dobbiamo regi- 
strarci al servizio e fornire un 
indirizzo mail e una password. 

Si fa tutto dalla home page, con un 
clic sul link in alto a destra (Sign Up 
Now). Poi compare una lunga pagina di 
contratto, scritta in fastidioso maiuscolo, 
e bisogna cliccare il pulsante I Agree 
(sono d’accordo) in fondo. 

Una volta registrati, il servizio 
può essere usato da Web oppu¬ 
re, per chi usa Windows, scaricare 
^ un Client locale (Spam Motel la chia¬ 
ma Locai User Interface). Il Client non è 
indispensabile ma solo più comodo e si 
può tranquillamente usare l'interfaccia 
Web se lo riteniamo opportuno. Secondo 
i gestori del servizio, nel prossimo futu¬ 
ro arriveranno Client anche in versione 
Linux e Macintosh. 


0 ^ 0 http://www.s pammotel.com/spammote l/9enerateaccount.jsp7TEST-T 

Test complete!! You should receive an email in your home 
account in a few minutes. If this had been a reai Spam Motel 
Account you would have been given an E-mail address to 
use. But since this was a test, thè following Spam Motel 
account: RPJPPGXDBCYZ@spammotel.com was generated 
and and E-mail was sent to it. 


C K*%c Wirvittw 


abbiamo prouato Spam Motel e il seruizio ha generato una 
finta mail che uerrà all’account con cui ci siamo registrati. 
La mail è regolarmente arriuata. 


•mm. In ogni caso il servizio fun- 
ziona aggiungendo all'indi- 
I rizzo email registrato una 
sequenza di testo che viene 
associata all’indirizzo stesso per otte¬ 
nere il nuovo indirizzo antispam. Si può 
associare più di un testo per ottenere 
pseudoindirizzi diversi, e quindi si pos¬ 
sono impostare più pseudoindirizzi per 


O http.//vwwv.spammotel.com/spammotel/generateaccount.jsp?T£ST- 

Your Account has been setup and saved. Use thè following 
email address for this Spam Motel! 


Cli*«e Wmdow 


Ecco fatto: abbiamo pronto un nuouo indirizzo antispam, grazie a 
Spam Motel. 


ogni singolo indirizzo vero. Meglio sce¬ 
gliere testi descrittivi che aiutano a 
capire che uso ha ciascun indirizzo. 
Una volta finito si può provare l'effica¬ 
cia del sistema con una mail di prova. 

Lavoriamo esattamente allo 
| i stesso modo per generare un 
account autentico. Il messag¬ 
gio di risposta del servizio è diver¬ 
so ma la sostanza è identica: nasce 
un indirizzo che possiamo dare in giro 
senza rischio, almeno in teoria, di veder¬ 
ci inquinato dallo spam il nostro indirizzo 
autentico. 

_ Nelle opzioni possiamo impo- 

| stare il ricevimento della posta 
in HTML, cambiare l'indirizzo di 
P forward delle mail-Spam Motel e 
l'eventuale inserimento di un testo di vali- 
dazione a complicare ulteriormente la 
vita agli spammatori. 


















Sostituisse l'indirizzo email 


per inpannare i bnt e pii altri 
pirati della pesti elettronica 





Welcome to Spa m Motel 


Kro-tvr HTML _ 

Email Addrr»* Io forward nuli lo: Rnolt' r hjckcr|ourrul it 
Includo valutatimi to\! in .ili email»? _ 

Validatlon tVXt lo include: 


La sintonia fine degli pseudoindirizzi creati con Spam Motel. 


(SJIVJI 


Il succo dell'attività di Spam Motel è che 
possiamo vedere esattamente dove il mit¬ 
tente del messaggio che arriva ha recupera¬ 
to il nostro indirizzo e indirettamente a chi 
lo ha passato, o venduto. I messaggi in arri¬ 
vo da quel mittente possono essere blocca¬ 
ti con un clic del mouse. 

Non esistono problemi di compatibilità; il 
sistema funziona, o promette di farlo, con 
qualsiasi programma su qualsiasi sistema. 
Anche sui computer diversi da Windows, 
per i quali manca attualmente il Client loca¬ 
le, si può usare con pieno profitto l’interfac¬ 
cia Web. 


confidenzialità. Ma il servizio è giovane e 
a queste domande può rispondere con 
efficacia solo il tempo. Intanto Spam 
Motel esiste, offre un servizio interessan¬ 
te, non costa niente provarlo e, sincera¬ 
mente, chi è afflitto dallo spam ed è in 
cerca di soluzione dovrebbe almeno 
prenderlo in considerazione. 

Barg thè Gnoll 
gnoll@hackerjournal.it 


gnoll@hacker)ournal.lt 



Wekome to Spam Motel 


Sort By: PattCr««ed _ Descendlng 

Search notes: 


B Creai» A Ntw Address ^ 


_ Una volta a regime, la gestio- 

& ne degli indirizzi è semplice 

e svelta. Le attività principali r CpalTI 
sono la creazione di nuovi indiriz- -k»\ 

zi quando serve, la modifica di quelli vec¬ 
chi e il filtraggio o la sospensione di quel¬ 
li troppo inquinati o sospetti. Gli indirizzi 
sospesi si possono riattivare a piacere. 

Sarà veramente efficace nel- 
tj la lotta allo spam? 
i. Bella domanda. Il principio è 
^ ragionevolmente efficace: accet¬ 
tare che un account di posta possa esse¬ 
re compromesso e nel contempo dispor¬ 
re di un numero di account potenzialmen¬ 
te illimitato con cui rimpiazzare, diciamo, 
le vittime. 

<*=» Ci si può e deve chiedere 
?_I quanto siano sicuri i mecca- 

O nismi interni di Spam Motel e 

se la gestione degli pseudoindiriz- //na tipica schermata di gestione di Spam Motel, totto molto 

zi non comporti per noi un problema di facile e funzionale. 


This is a test account. This is what all your accounts wlll look llke on 
this page 



View Per Page 10^ : ) Toials 

Recelved 1 
Forwarded 1 

Showing 1-3 of 3 


prlmoindlrizzo 





























MOIP 


Il tema della Quality of Service merita un libro, 
non un articolo. Per studiarselo bene la prima 
cosa da fare è tuffarsi nella lettura dei Diffe- 
rentiated Services, seguendo i link che si tro¬ 
vano a http://www.ietf.org/htrnl.charters/diff- 
serv-charter.html e che puntano alle RFC 2474, 
2475, 2597, 2893, 3086, 3140, 3246, 3247, 
3248,3260.3289,3290. Per raggiungere una 
IETF rapidamente, il link migliore è 
http://'.v\vw.ietf org/rfc/rfc3290.txt, sostituen¬ 
do nell'ultima parte il numero della RFC cer¬ 
cata. 


A bbiamo parlato qualche] 
numero fa delie basi det pro¬ 
tocollo VolP, quello con cui 
possiamo fare chat audio e 
telefonare via IR Adesso pas¬ 
siamo a nozioni più avanzate, per esem¬ 
pio come fa VolP a mantenere la qualità 
della voce trasmessa sulla Rete. 

Qualità del 

Il protocollo RSUP seruizio 


lo supporta, valori ii 
per consentire il pai 
voce. 


RSVP è un protocollo di segnalazione che La struttura di Internet è la cosa i 


si occupa di gestire, e se possibile man- migliore possibile per i dati, ma la 


tenere, la cosiddetta Quality of Service peggiore in assoluto per la voce 

in tempo reale. Su Inter¬ 



net infatti i dati viaggiano 
suddivisi in pacchetti. 
Ogni pacchetto segue la 
strada in quel momento 
migliore e, poiché la stra¬ 
da migliore cambia in 
continuazione, non è 
detto che i pacchetti arri¬ 
vino nello stesso ordine 
in cui sono stati inviati, 
né che ci mettano lo 
stesso tempo. Se tra¬ 
smettiamo il testo di que¬ 
sto articolo la cosa è irri¬ 
levante. ma se lo recitia¬ 
mo in un microfono per 


AZ. ’incuba peggiore del UolP: la perdita un pubblico che ascolta 
di pacchetti. Le uoci si smozzicano e è un disastro. I pacchet- 

non si capisce più niente. ti dì voce infatti devono 



A Molte aziende sono 
passate da tempo, almeno 
internamente, alla 
telefonia IP per 
risparmiare. Lo suiluppo 
della telefonia IP sara 
molto interessante nei 
prossimi anni. 







































L. 


PROTOCOLLO DI CORTESIA 


rara 


RSVP prende il nome dall'acronimo della frase francese Répondez s ii vous plait, che 
significa rispondete per favore e si mette in fondo agli inviti per richiedere una conferma, 
Tutti gli estremi del protocollo della cortesia applicato a Internet e a VolP si trovano nella 
RFC 2205 (http://www.ietf.org/rfc/rfc2205.txt?number=2205) 


arrivare nella sequenza esatta e non si può 
attendere a lungo un pacchetto ritardata¬ 
rio, poiché il parlato continua a fluire e i 
saluti iniziali, per fare un esempio sciocco, 
non possono certo arrivare a metà confe¬ 
renza. TCP/IP non può garantire quello 
che chiediamo e cosi è necessario che 
ogni router che attraversiamo contenga gli 
accorgimenti adeguati per consentire VolP 
Uno di questi è il campo TOS in IP, il valo¬ 
re del quale determina l’urgenza del pac¬ 
chetto (valore basso, urgenza alta). Poi ci 
sono i metodi di accodamento dei pacchet¬ 
ti stessi. Il metodo FIFO (First In First Out) 
è un non-metodo: i pacchetti passano 
come arrivano. Più intelligente è WFQ 
(Weighted Fair Queuing), che analizza i 
pacchetti in arrivo e vede chi deve passa¬ 
re prima, per esempio alternando un pac¬ 
chetto UDP a un pacchetto TCP e vietan¬ 


do ai pacchetti FTP di prendersi tutta la 
banda libera al momento. 

Nel||istema CQ (Custom Queuing) sono 
gli dienti a decidere le priorità. Nel PQ 
(Priority Queuing), invece, il flusso è sud- 
| diviso in varie code (tipicamente quat- 
" tro)iciascuna con il suo livello di priorità. 
Dopo avere esaurito la prima coda si 
passa alla seconda e cosi via. Il sistema 
di accodamento più sofisticato è detto 
CB-WFQ (Class-Based Weighted Fair 
Queuing) ed è un WFQ con l'aggiunta 
di classi, fino a 64, che hanno ognuna 
un valore di banda passante associato. 
Dopo campo TOS e accodamento dei 


pacchetti abbiamo anche la limitazione del¬ 
la sorgente dati a un valore fisso in down¬ 
load o upload e i metodi di Congestion 
Avoidance (anticongestione) quali RED 
(Random Early Detection). 

Nelle prossime esplorazioni di VolP, dopo 
avere esaminato le viscere dello standard, 
arriveremo a questioni interessanti, come 
gli standard di videoconferenza e i requi¬ 
siti hardware da rispettare. 

NyarlathDtep 

nyarlathotep@hackerjaurnal.it 


Hr.Anomcii 












C YBERENIGMfì 





TftJlTI SDLU 


abbiamo giocato 
leggero all 'inizio 
e pesante alla line- 
ma sono arrivate 
risposte ottime! 


Example Ono-Timo Pad 


48173 19839 90183 
51834 00182 47865 
01983 47362 
60120 98754 



La soluzione 


OLI HRCHZR CHS 
HRflflD RISPOSTO! 

Il primo arriuato in assoluta è 
Simonide, super hacker! 

Ecco gli altri arriuati: 


Faicchio 

Gemo 

SBRIK 

Esperto 

[2-p-a-c] 

Esperto 

-risolutore- 

Genio 

60LD3N R37R13V3R 

Genio 

pietromet.il 

Genio 

The Alchemist 

Genio 

.iFireFox:. 

Esperto 

/VoWhereAAan 

Genio 

Paolo 

Esperto 

Federico Gorla 

Esperto 

C++ 

Esperto 

.:..::Mauro il barelliere::.. 

:. Genio 

Jett 

Genio 

...::Proz'HacK::.. 

Genio 


Sylher 

. Genio 

dimmoniu 

Esperto 

dark_devil 

Genio 

Devilangel666 

.. Genio 

Claudio 

Esperto 

Netrunner 

Esperto 

Enrico Sunseri 

Genio 

LordFly 

Genio 

LordDraoo 

Genio 

Giuseppe De Roma 

Genio 

steno 

Esperto 

Vandryell 

Genio 

Black_cell 

Esperto 

Danykos 

Esperto 

Michele 

Per tutti 

dHo! 

Per tutti 

Ezio Rizzo 

Genio 

Dora Cammarota 

Genio 

AmatoHack86 

Genio 

sallatta 

Genio 


OI’it : se la chiave Amia dava 

come risultato DWEYEJOVIBMQRHF- 
NO, la chiave Samantha avrebbe dovu¬ 
to dare VJIFRCINHBYDWHMNT (qual¬ 
cuno è riuscito a portare al cinema una 
sua amica Samantha? :-) 

O Per esperti: la frase è viva il 
software libero e abbasso ogni cen¬ 
sura. 

O© Per geni: esiste una sola chia¬ 
ve possibile ed è BIELOGPEIVEY- 
QEGLDNDFDBOWEFZE- 
FIVYSRQLBJ. 

la frase 

è hacker journal la rivista per tutti per 
esperti per geni e per super hacker. Il 

sito http://www.vidwest.com/crypt/ per¬ 
metteva di decifrare la risposta anche a 
chi non avesse saputo scrivere un pro¬ 
gramma apposta. 



LR CIFRRTURR JRVR 


import jauan.sujing.JOptionPane; 
public class cripto 

public static uoid main (String tlargs) 

japtionPane.shoiiiMBssagBDialogtnull,"Cripto Uar l.D by tterbEBr"); 

String f -JOptiDnPane.shouiInputDialogC'Scriui la frasB senza spazi”,"Insarisci 


la frasB qui”); 
utilizzare"); 


String k - JDptionPanB.shoujInputDialogtnull,"Inserisci lo chiaue che uuoi 

int ind “0; 
int ind2 =0; 

Strino alta="abcdefghljklmnopqrstuuiiiHyzabcdefghijklmnopqrstuuuLiHyz”; 

char lialf- alta.toCharRrrayf); //array alfabetico 

char IIjk= neui chartf.lengthOI; //array di appoggio 

char Ile = k.toCharRrrayO; //array criptico 

char Ut -f.toCharRrrayO; //array frase 

for (int q =D;q<f.length();q**) //riempie crittico 

if (qck.length()){ 

jk[ql= ctql; 

lelsef 

jk[ql=jk[(q-k.length())l; 
















i iifyj 

mmimiittèllKtlMMÙ 


sst 


Marco Cariolato Genio 

’0ne4Me Genio 

bauz Genio 

RiKì Gemo 

. ,:marcuz:. Genio 

SIGMA5TII e YGUANEZ Genio 
<L EA> Genio 

AKIRA Genio 


Gabry89 

Esperto 

mK8 

Genio 

cyherbug 

Esperto 

yàyo 

Genio 

Mario "Evildevil" Romano Genio 

IToSsIc ShAmRoGk88! 

Genio 

A MaNLRiX A 

Esperto 

Oerbeet 

Genio 

Stefano 

Genio 

-=V3nQm=- 

Genio 

roy2002l 

Genio 

Gabry89 

Esperto 

Marco 

Genio 

6Mari6$oN6 

Genio 


8flf- 


A finche 
Enigma, 
la macchina 
usata dai 
nazisti per 
cifrare 
nella seconda 
guerra 
mondiale, 
applicano 
una forma 
di cifrario 
one-time pad. 


HITRRDRTRRI 
I DIVERSIVI 

C’è sempre qualcuno che arriua 
dopo! 0 che aggiunge particolari. 


I sostiene che l’inuocaziane 

di soccorso aereo Mayday deriua 
dal francese M’aidez (aiutatemi) e 
lo stesso parere lo ha . In 

redazione Steso nota che in fran¬ 
cese si daurebbe dire Ridez moi, 
ma la questione resta aperta. 
Perché si dice Mayday? 
RebelSourc! è riuscito a minare i 
proyrammi UisualBasic per cifrare 
e decodificare gli aiuti di Ruuen- 
tura nel Castella. Lo stesso hanno 
fatto iNlsaHead e ftp21. CMOS ha 
inuece decifrato le peryamene. 
fnn91 e tona hanno risposto lita¬ 
nie, anno 1912 al Morse-problema, 
frò Eli aueua mandato le stesse 
risposte in tempo, ma a un indiriz¬ 
zo sbayliato. 

Complimenti a tutti comunque! 


//String atl= new StringlZI; 
for (ini i = 0;i<f.length|);i»-*){ 
forimi j=0;j<26;j**) 


rrivano tante risposte. Per facilitarci i 
compito sarebbe meglio: 


if (Jk(il==alfIII) Ind - j; 


* scrivere nel subject Cyberenigma e i 
numero della rivista, meglio ancora il 
tema del cyberenigma; 


forimi j=D;j< 26 ;j**) 


If (l[i]==alflj|) indZ = j; 


tlil 


(ind*l) 


numero: 


z= indicare chiaramente il mckname in 
fondo al messaggio; 


z scrivere possibilmente prima che esca 
nuovamente HJ; 


a se c e un indirizzo di mail nella pagina 
del cyberenigma, usare quello e non altri 


Pero facciamo comunque il possibile per 
tenere nota di tutti! 


//System.out.println("lettera 
tIil=alf|(indHnd 2 M]; 
ind = 0 ; 
ind 2 - 0 ; 

//System.out.prmtlnlind- 1 ); 

Slring 

for (ini i =0;Kf.lengthl);i**)l 

//System, out.printlnlllil); 
io=uj*t[i]; 

System.out.printlnCLa frase criplala e’: 

System.out.println(ii)); 

JDptionPane.shoujMessageDialog(null,”La frase criptala e': \n"*io); 
System.eHit(Q); 
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JOURNAL 


IL PROSSIMO NUMERO 

00 0000000 

Il 29 luglio 2004! 


Un cifrario da fumetto! 

Il cifrario di questo numero ha il nome identico a quello di un noto personaggio dei fumetti. 


È un semplicissimo cifrario a sostituzione, che qualcuno di noi avrà usato alle scuole medie... 
o alle elementari! Si tratta di disporre le lettere dell'alfabeto intorno a quattro griglie. 


Poi si scrive ogni lettera 
disegnando la parte di gri¬ 
glia che lo racchiude, con 
o senza puntino aggiunto. 

a = MI 

a ■ 

c-m 

>-■ 

il messaggio segreto 
di questo numero 
è il seguente: 


ouenei! oiaqeue.iiap aiauai ai aum ouos w oiOBessaui iau omime.i 







le risposte a: 

guestbook @hackerjaurnal. it 













